Bundesamt für Sicherheit in der Informationstechnik

M 2.224 Vorbeugung gegen Schadprogramme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Einen absoluten Schutz gegen Schadprogramme gibt es nicht. Daher ist es besonders wichtig, alle Benutzer immer wieder über die Bedrohung durch Schadprogramme aufzuklären.

Weiterhin müssen im Sicherheitskonzept gegen Schadprogramme alle IT-Systeme erfasst werden, die innerhalb einer vernetzten Struktur gegen Schadprogramme geschützt werden müssen. Dabei sollten Viren-Schutzprogramme so platziert werden, dass alle möglichen Infektionswege abgedeckt sind (siehe auch M 2.154 Erstellung eines Sicherheitskonzeptes gegen Schadprogramme ).

Durch Beachtung einiger wichtiger Verhaltensregeln und Empfehlungen kann die Gefahr eines Befalls durch Schadprogramme reduziert werden:

  • Es sollten regelmäßig aktualisierte Viren-Schutzprogramme eingesetzt werden.
  • Alle von Dritten erhaltenen Dateien und Programme sollten vor der Aktivierung auf möglicherweise enthaltene Schadprogramme überprüft werden. Diese Überprüfung sollte möglichst automatisiert erfolgen.
  • Schadprogramme können in aktive Inhalte von Web-Seiten (z. B. Java, JavaScript und besonders ActiveX) eingebettet sein. Eine Ausführung ist damit möglich, ohne dass der Benutzer dies bemerkt. Es sollte überlegt werden, den Internet-Browser so zu konfigurieren, dass beispielsweise aktive Inhalte gar nicht erst auf den eigenen Rechner geladen werden können oder nur von vertrauenswürdigen Seiten stammen dürfen.
  • Schadprogramme verfolgen häufig den Zweck, Passwörter oder andere Zugangsdaten auszuspähen. Daher sollten Passwörter nie auf den IT-Systemen abgespeichert werden.
  • Absender-Angaben in E-Mails ohne entsprechende zusätzliche Sicherheitsmechanismen sind nicht vertrauenswürdig. Absender-Namen oder Reply-Adressen lassen sich sehr einfach fälschen. Selbst wenn die Absender-Angaben korrekt sind und der Absender vertrauenswürdig ist, kann nicht davon ausgegangen werden, dass dieser wissentlich die E-Mail geschickt hat. Ein Schadprogramm auf seinem Rechner kann das Adressbuch ausgelesen und automatisch E-Mails generiert haben. Es sollten daher keine E-Mail-Anhänge oder andere empfangene Dateien geöffnet werden, wenn die E-Mail eine merkwürdige Betreffzeile oder einen ungewöhnlichen Nachrichtentext enthält. Im Zweifelsfall sollte bei den Kommunikationspartnern nachgefragt werden, ob sie die Nachrichten wirklich geschickt haben.
  • Beim Austausch von E-Mails sollten möglichst digitale Signaturen eingesetzt werden, um die Echtheit und Korrektheit der E-Mail-Inhalte überprüfen zu können (siehe M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen ).
  • Viele Daten und Programme sind über verschiedene Quellen verfügbar, z. B. über Mirror-Server im Internet oder über Zeitschriften- CD-ROM s. Daten und Programme sollten grundsätzlich nur von vertrauenswürdigen Quellen geladen werden, also insbesondere von den Original-Web-Seiten oder Original-Datenträgern des Erstellers (siehe auch M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen ).
  • Grundsätzlich sollten alle Programme vor Installation und Freigabe auf Testsystemen hinsichtlich der Funktionssicherheit und hinsichtlich eines Befalls durch Schadprogramme überprüft werden (siehe dazu auch M 4.65 Test neuer Hard- und Software ).
  • Bei CERT s bzw. anderen sicherheitsbezogenen Informationsdiensten sollte regelmäßig recherchiert werden, ob eingesetzte Programme dahingehend aufgefallen sind, dass sie Daten vom IT-System des Benutzers ohne dessen Wissen an andere IT-Systeme übertragen (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems ). Von solchen Problemen waren in der Vergangenheit nicht nur einige Anwendungen, sondern auch bestimmte Programmbibliotheken betroffen. Den Programmierern, die diese Bibliotheken eingesetzt hatten, war teilweise nicht bekannt, dass dadurch Benutzerinformationen an Dritte weitergegeben wurden.
  • Bei der Installation von Programmen sollten die Programmhinweise und Nutzungsbedingungen sorgfältig durchgelesen werden. Oftmals wird in diesen sogar (mehr oder weniger deutlich) darauf hingewiesen, dass bei der Verwendung des Programms bestimmte Benutzer- oder Systemdaten erhoben und weitergegeben werden.
  • Die meisten modernen Betriebssysteme enthalten heute bereits integrierte Paketfilter. Diese Paketfilter-Funktionen sollten auf möglichst allen IT-Systemen aktiviert werden. Insbesondere für Windows-Betriebssysteme sind außerdem spezielle Personal-Firewalls erhältlich, die neben der reinen Paketfilter-Funktion auch weitere Sicherheitsfunktionen bieten, beispielsweise Registry- oder Prozess-Monitoring. Es sollte geprüft werden, auf welchen IT-Systemen der Einsatz einer zusätzlichen Personal-Firewall erforderlich ist.
  • Die Benutzerrechte auf Clients und anderen Endgeräten sollten möglichst stark eingeschränkt werden. Dazu gehört auch, dass möglichst nur solche Anwendungen betrieben werden, für die keine Administratorrechte benötigt werden. Je mehr Rechte ein Anwender hat, desto höher ist die Wahrscheinlichkeit, dass ein auf diesem Weg eingedrungenes Schadprogramm funktioniert und sich tiefer im System einnisten kann.
  • Die Absicherung eines Netzes darf sich nicht auf die Außengrenzen beschränken. Zum Schutz vertraulicher Daten müssen auch intern sichere Teilnetze gebildet werden, die möglichst gut gegen andere Netzbereiche abgeschottet sind. Eine geeignete Netzsegmentierung mit ausreichendem Schutz interner Netzgrenzen schränkt die Möglichkeiten von Schadprogrammen ein.
  • Wenn die Abwehr eines Schadprogramms nicht gelungen ist und sich eine Schadfunktion aktivieren konnte, sollte sie möglichst schnell anhand ihres Verhaltens entdeckt werden. Die größten Chancen bestehen dabei durch eine genaue Beobachtung des Netzes.
    Netzaktivitäten und E-Mail-Verkehr sollten daher regelmäßig beobachtet und protokolliert werden. Häufig zeigt sich die Aktivität von Schadprogrammen durch unerwünschten Datenverkehr. In Frage kommen hier insbesondere ungewöhnlich große übertragene Datenmengen, wiederholte Übertragungen in bestimmten Zeitintervallen oder eine auffällig ansteigende Anzahl zu übertragender E-Mails. Intrusion Detection Systeme können hier die automatische Suche nach solchen Ungewöhnlichkeiten unterstützen.
  • Im Hinblick auf vorbeugende Maßnahmen gegen Keylogger ist eine Besonderheit zu beachten. Da der Vertrieb von Keyloggern in vielen Ländern legal ist, nehmen Hersteller von Viren-Schutzprogrammen sie häufig nicht in ihre Signatur-Datenbank auf. Hinsichtlich der tatsächlichen Erkennung von Keyloggern durch das eingesetzte Viren-Schutzprogramm sollte Klarheit bestehen. Im Zweifelsfall sollte zusätzlich ein auf das Auffinden von Keyloggern spezialisiertes Programm eingesetzt werden.
  • Nicht nur reguläre Programm-Dateien können Schadprogramme enthalten, sondern auch Dateien von Anwendungsprogrammen, die eine Makro-Sprache verwenden ("Makro-Viren"). Betroffen sind unter anderem die gängigen Office-Programme (wie Textverarbeitung oder Tabellenkalkulation) der meisten Hersteller. Viele Anwendungsprogramme bieten Einstellungsoptionen, die den Schutz vor Makro-Schadprogrammen erhöhen. Beispielsweise kann beim Öffnen von Dateien die Ausführung von Makros standardmäßig verhindert werden. Zu diesem Thema sollten die entsprechenden Empfehlungen der Hersteller von Anwendungsprogrammen geprüft und mit den eigenen Sicherheitsanforderungen abgeglichen werden. Als weitere Vorbeugung sollten Benutzer darauf hingewiesen werden, wie sie die automatische Ausführung möglicherweise vorhandener Makros verhindern können. Dies ist leider für fast alle Programme und Versionen unterschiedlich und auch nicht immer zuverlässig.

Prüffragen:

  • Wird ein aktuelles Viren-Schutzprogramm eingesetzt und werden dessen Schadprogramm-Signaturen in kurzen Zeitabständen aktualisiert?

  • Werden empfangene Daten und Programme vor deren Aktivierung auf Schadprogramme überprüft?

  • Ist sichergestellt, dass Benutzer nur die Berechtigungen erhalten, die sie für ihre Arbeit tatsächlich benötigen?

  • Werden Netzaktivitäten hinreichend beobachtet, um auffälliges Verhalten schnellstmöglich zu entdecken?

  • Sind die Paketfilter-Funktionen auf allen gefährdeten IT -Systemen aktiviert?

  • Ist ein ausreichender Schutz vor Keyloggern gewährleistet?

  • Sind die Benutzer über die sie betreffenden Verhaltensregeln zum Schutz vor Schadprogrammen informiert?

Stand: 11. EL Stand 2009